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Verfahren zum Vezmeiden von fehlerhaf ten Aktuatorzugrif f en 
in eineia multifunktionalen elektronischen Gesamtregelungs- 
system 



Die Erfindung bezieht sich auf ein Verfahren zum Vermeiden 
von fehlerhaften Aktuatorzugrif f en in einera multif unktiona- 
len elektronischen Gesamtregelungssystem, bei dem die Aktua- 
torzugrif fsanforderungen von verschiedenartigen Systemdiens- 
ten ausgehen. Das Verfahren ist insbesondere fUr Fahrzeugre- 
gelungssysteme geeignet. 

Es sind bereits komplexe Kraf tfahrzeugregelungssysteme be- 
kannt, die mehrere Funktionen, wie Antiblockierschutz (ABS) , 
Anfahrschlupfregelung (ASR) , Fahrstabilitatsregelung (ESP), 
elektrische Oberlagerungslenkung, Bremsassistent , System- 
oder Komponentendiagnose usw. vereinen. Es besteht der 
Wunsch, diese und weitere Funktionen und Hilf sf unktionen, 
Wie OberWachung, Fehlers-rgnalisiirung, Reif endrtidkuBerwa- 
chung etc., ebenfalls mit Hilfe eines gemeinsaraen elektroni- 
schen Systems zu steuern. Die verschiedenen Funktionen und 
Hilfsfunktionen werden dabei zum grofien Teil mit Hilfe der- 
selben Aktuatoren, wie Druckregelventilen, Hydraulikpumpen, 
Warnlampen etc., ausgefuhrt oder vorbereitet. Die Zugriffe 
zu den einzelnen Aktuatoren kbnnen dabei durchaus gleich- 
zeitig erfolgen. Dies fUhrt verstSndlicher Weise zu Konflik- 
ten. Ein Zugriff zu einem Aktuator durch ein Regelungssystem 
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Oder einen Regelungsbef ehl untergeordneter Bedeutung anstel- 
le eines z.B. aus Sicherheitsgrunden momentan wichtigeren 
Befehls muss verhindert werden. 



Der vorliegenden Erfindung liegt daher die Aufgabe zugrunde 
sicherzustellen, dass in einem komplexen System der vorge- 
nannten Art bei konkurrierenden Aktuatorzugrif fsanf orderun- 
gen kein "f ehlerhaf ter" , nicht berechtigter Zugriff zu ei- 
nem Aktuator erfolgt. "fehlerhaf t" ist dabei ein Zugriff 
durch eine Anforderung, die momentan unerwanscht ist, well 
eine Arbitrierungsart gefordert wird, die in der aktuellen 
Betriebsphase nicht zulassig ist (z.B. eine Diagnosemafinahme 
wahrend der Fahrt) oder aus zahlreichen anderen GrUnden. 

Es hat sich herausgestellt, dass diese Aufgabe durch das im 
Anspruch 1 beschriebene Verfahren" gelost werden kann, dessen 
Besonderheit darin besteht, dass in das System eine Rechte- 
verwaltung, die bei einer Aktuatorzugrif fsanf orderung die 
Berechtigung des Systemdienstes zur Anderung der momentanen 
Betriebsart des Gesamtregelungssystems feststellt, eine Be- 
triebsartensteuerung und eine Zugriff sverwaltung eingeftigt 
werden, dass die Rechteverwaltung bei einer Zugriff sanf orde- 
rung durch einen Systemdienst unter BerOcksichtigung der mo- 
men-ta-nen Gesamtbetrlebsart dei ~Gi-samtrege"lGngs'systems eine " 
Einstellung oder einen Wechsel der Betriebsart nach vorgege- 
benen Regeln herbeifUhrt und die aktuelle Betriebsart der 
Zugriffsverwaltung meldet, und dass die Zugrif fsverwaltung in 
Abhangigkeit von der gemeldeten Gesamtbetriebsart eine Aktu- 
atorbetatigung nur durch den "berechtigten" Systemdienst zu- 
lasst und die Aktuatorzugriffsanforderungen der Systemdiens- 
te nach vorgegebenen Arbitrationsregeln verarbeitet. 
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Erfindungsgemaft wird also in das elektronische Steuersystem 
eines multif unkt ionalen Gesamtregelungssystems eine zusStz- 
liche Rechte- und Zugrif f sverwaltung integriert, die dazu 
fUhrt, dass nur die in der jeweiligen Betriebsart "erwiinsch- 
ten", festen vorgegebenen Regeln entsprechende Zugrif fsan- 
forderungen der verschiedenen Oder verschiedenartigem Sys- 
temdienste zum Aktuator durchgelassen werden. Den z.B. aus 
SicherheitsgrOnden vorzuziehenden Aktionen wird von der 
Zugrif f sverwaltung Vorrang oder Prioritat eingeraumt. 

Durch die erf indungsgemaiie Rechte- und Zugrif f sverwaltung 
wird es moglich, Basisfunktionen und Hilfs- oder Fremdfunk- 
tionen in einem System zu integrieren, ohne die Basisfunkti- 
onen zu gefShrden. Durch die Rechte- und Zugrif f sverwaltung 
wird verhindert, dass z.B. durch einen "f ehlerhaf ten" , nicht 
berechtigten Zugriff auf einen Aktuator eine Bremsbe- 
tatigungsanforderung, die aus SicherheitsgrUnden Vorrang ha- 
ben muss, nicht mehr durchgeschaltet werden kann. Die Erfin- 
dung macht es also erst mSglich, dass zahlreiche wichtigere 
und - je nach Situation bzw. Betriebsart - weniger wichtige 
Funktionen integriert werden kSnnen. 

Nach einem vorteilhaf ten AusfUhrungsbeispiel des erfindungs- 
gema-ften- Verfahren5-wercien~dTe AiaiuatoVzugr i f f anf orde^ 
der Systemdienste in einem Speicher erfasst und nach Ar- 
bitrationsarten getrennt zur Zugrif f sverwaltung weitergelei- 
tet . 

Eine besonders vorteilhafte Ausf iihrungsart der Erfindung be- 
steht, das.s die zu einem Aktuator durchgelassene, von einem 
Systemdienst ausgehende Aktuatorzugrif f sanf orderung durch 
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zweistufige Arbitration, namlich durch sine "vertikale" und 
eine "horizontale" Arbitration, bestinmit wird. 

Nach einem weiteren Ausf ahrungsbeispiel der Erfindung werden 
in der Zugrif f sverwaltung in einem ersten Schritt die nicht 
berechtigten Zugrif fsanforderungen in AbhSngigkeit von der 
gemeldeten, aktuellen Gesamtbetriebsart ermittelt, elimi- 
niert oder zuriickgewiesen werden. In einem zweiten Schritt 
wird durch vertikale Arbitration eine Bewertung und Auswahl 
der berechtigten Zugrif fsanforderungen nach vorgegebener 
Rangfolge der Arbitrationsarten durchgef ahrt , wobei einem 
"Stromsignal" hohere Prioritat als einem "Drucksignal" und 
einem "EIN/AUS-Signal" hShere Prioritat als einem Stromsig- 
nal zugemessen werden. SchlieJilich erfolgt in einem dritten 
Schritt durch horizontale Arbitration eine Bewertung und 
Auswahl der in dem zweiten Schritt ermittelten Zug-riffsan- 
forderungen nach Prioritat des Signals, mit dem der ausge- 
wahlte Systemdienst den Aktuator ansteuern will. 

Es ist zweckmaiiig, die Rechte der Systemdienste zur Anderung 
der Betriebsart in einem Festwertspeicher, auf den die Rech- 
teverwaltung Zugriff hat, z.B. in Form einer Tabelle, fest- 
zuhalten. 



Wird das erfindungsgemaUe Verfahren bei einem Gesamtrege- 
lungssystem far Kraf tfahrzeuge angewendet, das als Basissys- 
tem eine Bremsanlage (EHB, EMB) enthait, werden als System- 
dienste, von denen Aktuatorzugrif fsanforderungen ausgehen, 
die Basisbremsfunktionen (BBF) , Radschlupf regelungsf unktio- 
nen (wie ABS, ASR (TCS) , ESP) , Diagnosef unktionen (DIAG), 
Motorpumpenregelungensysteme (MPA) und Schnittstellen (BUS) 



Continental Teves AG 



P 10663 



- 5 - 

erfasst und durch die Rechteverwaltung in Verbindung mit der 
Zugrif f sverwaltung kontrolliert . 

Es konnen noch weitere Systemdienste, wie "Fremdsof tware", 
(CSW) "Lenkungsfunktionen" (Lenk) etc., in das Gesamt system 
integriert werden. 

Bei einem Gesamtregelungssystem fur Kraf tfahrzeuge wird vor- 
teilhafter Weise in der Betriebartensteuerung zumindest zwi- 
schen den Betriebsarten "Normalbetrieb" , der sich nach Been- 
digung der Startphase beim Ausbleiben einer Fehlermeldung 
einstellt, der Betriebsart "Startphase", die z.B, bis zum 
Ablauf einer vorgegebenen Zeitspanne, bis zum erstrualigeru 
Erreichen einer Mindestgeschwindigkeit und/oder bis zum Ab- 
schluss von anfanglichen Priifroutinen gilt, der Betriebsart 
"Diagnose", der Betriebsart "Fremdsof tware" , die bei einer 
Aktuatorzugrif f sanforderung durch ein Fremd- oder Hilfssys- 
tern ausgelost wird, und der Betriebsart "Failsafe", die auf 
das Vorliegen einer Fehlermeldung hinweist, unterschieden . 

Weitere Merkmale, Vorteile und Anwendungsmoglichkeiten der 
Erfindung gehen aus der folgenden Beschreibung von Einzel- 
heiten eines Ausf Qhrungsbeispiels anhand der beigefugten 
-Zeichnung- hervor , Es' zeigen 

Fig- 1 in schematischer Darstellung Funktionselemente eines 
elektronischen Gesamtregelungssystems zur AusfUhrung 
des erf indungsgemaiien Verfahrens und 

Fig. 2 ebenfalls in schematischer Darstellung einen Teil des 
Gesamtregelungssystems nach Fig. 1 zur Veranschauli- 
Chung der Funktionsweise der Zugrif f sverwaltung. 
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Das im folgenden als vereinf achtes Beispiel beschriebene Ge 
samtregelungssystem ist fur ein Kraftf ahrzeug mit einer kom 
plexen Bremsanlage, wie einem elektrohydraulischen Bremsen- 
system (EHB) vorgesehen, das mit Systemen und Funktionen un 
terschiedlicher Art, wie Bremsassistent, Geschwindigkeits- 
oder Abstandregelungssystemen, Diagnosesystemen, Lenksyste- 
men (z.B. Oberlagerungslenkung) etc. zusairanenarbeiten kann. 
Das Bremsensystem, einschliefilich der zugehOrigen Regelungs 
systeme urid -funktionen ABS, ASR, ESP etc. wird als Basis- 
system betrachtet, die abrigen Systeme Oder Funktionen als 
Fremd- oder Hilf ssysteme . 

In Fig. 1 werden die Dienste, von denen Aktuatorzugrif f san- 
forderungen ausgehen, die nach dem erf indungsgemaUen Verfah 
ren "verwaltet " , d.h. auf ihre Berechtigung geprtift werden, 
durch einen Funktionsblock 1 symbolisch dargestellt. In dem 
hier beschriebenen Ausf tihrungsbeispiel nach der Erfindung 
handelt es sich, wie in 1 angedeutet, im wesentlichen urn di( 
folgende Dienste: 

BBF bezeichnet die Basisbremsf unktion, die z.B. bei Brake 
By-Wire-Systemen (EHB; EMB) auch in Standardsituatio- 
— - nen -elektronische Steuerung verlangt; 

ABS, ASR{TCS), ESP sind unter diesen AbkOrzungen bekannte 
Rege 1 ung s funktionen; 

DIAG bezeichnet Diagnosef unktionen; 

MPA ist die Bezeichnung fur ein Motorpumpenaggregat , vom 
dem ebenfalls Aktuatorzugrif fsanforderungen ausgehen; 

CSW symbol isiert Fremd- oder Hilf ssysteme (CSW = Customer 
Software) ; 
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BUS bezeichnet eine Schnittstelle, wie CAN-Bus, uber die 
u.a. auch Zugrif f sanf orderungen von ZubehSrf unktionen 
Oder von Fremdsystemen (CSW) geleitet werden; 

Lenk bezeichnet Lenksysterae, wie Oberlagerungslenkungen. 

Zugriffsanforderungen von Abstandsregelungssystemen (ACC) , 
Geschwindigkeitsregelungssystemen (Tempomat) etc. kOnnen e- 
benfalls uber den Systemdienst "BUS", tiber die Schnittstelle 
CSW Oder uber einen weiteren Systemdienst mit eigener Iden- 
titat (ID) in das Gesamtregelungssystem integriert werden. 

Die von den Systemdiensten 1 ausgehenden Aktuatorzugrif f san- 
forderungen werden in einer Rechteverwaltung 2 auf ZulSssig- 
keit Oder Berechtigung in der aktuellen Situation, d.h. in 
der momentanen Betriebsart (Gesamtbetriebsart) , aberprtif t . 
Hierzu dient eine Riickmeldung aus einer Betriebsartensteue- 
rung 3. 



Jeder Dienst wird durch seine ID eindeutig erkannt. Als Be- 
triebsarten, die unterschiedliche Reaktionen verlangen, sind 
beispielsweise die folgenden von Bedeutung: 

"Normal" "Normal-Betrieb" ist z.B. nach ISngerer Be- 

- triebszeit eines"Kraftfahrzeugs ohne Fehler- 

meldung gegeben; 
"Start-Phase" gilt z.B. solange die einzelnen Systeme noch 

nicht voll in Funktion sind oder Routine- 

UberprOfungen noch nicht abgeschlossen sind; 
"Diagnose" diese Betriebsart herrscht z.B. in der Werk- 

statt Oder in der Startphase des KFZ wahj:end 

des Ablaufs von PrQf routinen; 
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Fremdsof tware: diese Betriebsart wird z.B. 
eingestellt, wenn die ID des den Zugriff an- 
fordernden Systemdienstes erkennen lasst, 
dass die Anforderung nicht von einer Basis- 
funktion, sondern von einer ZubehSr- bzw. 
Hilfsfunktion oder "Fremdfunktion" stammt; 
"Failsafe" im System wurde ein Fehler erkannt, der Be- 

triebseinschrSnkungen zur Folge hat. 

Die Regeln zur Beurteilung der "Berechtigung" in AbhSngig- 
keit von dem identif izierten Systemdienst und von der aktu- 
ellen Betriebsart (Gesamtbetriebsart ) sind fest vorgegeben. 
Die Regeln sind, wie Fig. 1 zeigt, in dem beschriebenen Aus- 
fuhrungsbeispiel der Erfindung in einem Festwertspeicher 3, 
z.B. tabellarisch, f estgehalten. 

Die Zugriff sanforderung des jeweiligen Systemdienstes 1 wird 
von der Rechteverwaltung 2 sofort abgelehnt oder ignoriert, 
wenn in der aktuellen Gesamtbetriebsart keine Berechtigung 
zu der Aktuator zugriff sanforderung gegeben ist. Wenn die 
Anforderung in der aktuellen Betriebsart "berechtigt" ist, 
wird durch die Betriebsartensteuerung 4, falls erforderlich, 
ein Wechsel der Betriebsart des Gesamtregelungssystems her- 
.beigefijhrt. Die- aktu^lle Betriebsart wird einer ' Zugriff sver- 
waltung 6 gemeldet; auBerdem erfolgt eine RUckmeldung an die 
Rechteverwaltung 2. 

Die Aktuatorzugriffsanforderungen der einzelnen Systemdiens- 
te 1 werden Uber die Signalwege SDl bis SDn, gleichzeitig 
mit der RechteuberprUf ung in der Rechteverwaltung 2, aber 
einen Zwischenspeicher 5 der Zugriff sverwaltung 6 zugefUhrt, 
dio nach vorgegebenen Regeln durch Arbitration gesteuert 
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fa.tlegt, welche AUuator.ugrif fsanforderung d.r Sy.te.- 
dxenste X m der afctuellen Betriebsart tata.chlich bl. .u 
exnen AUuator 7 durchgelassen „ird. Wle anderen Anforde- 
rungen warden ignorlert ode. wegan "fahlenda. Berechtigung" 
^urocgawxesan; die A.zeptan. und/oder die "AbZehnung.. da! 
Anfordarung wird dan Systa-ndienstan 1 zuraclcgameldet. 

Wia Fig. 2 varanschaulicht , warden in den Zwischenspeicher 5 
dxe A.tuatorzugriffsan,ordaru„gan nach Arbitrationaarten, 
d.h. naoh Signalen gleichar physi.aliacher Einheit (hier- 
..p... stro™ n.. Oder EXNMUS-signal "KM..., aortiart 
und 2ur zugriffsvarwaitung weitargeleitet. 

in der Zugrif f svarwaltung 6 warden in ainem araten Schritt 

d. e xn der a.tuallen Geaa.tbetriabart ..„icht berachtigten.. 
Antordarungen zurOc.gewiasen odar aii„a„iert. Sodann findet 

e. na .wexatufiga Arbitration der varbliabanan A.tuator- 
zugrif fsanforderungen stat-i- Tr. 

siert durch einen Block 8 in Pir, o 

^ ^ ^ d m Fig. 2, werden die "berechtig- 

LranTd ^-^Sagabaner Rangfolge odar Priori- 

als 3 : .""^ -ewartat; dies „ird 

als vertikala.. Arbitration bezeiohnet. 

-Ansohiia.a„d Wird in eina. zwaitan Schritt Oder ainer .^il 
art — eine Bewertu 

ro«:: : : Arbitrationaart ,e- 

runoe Vr "^^'^"^ AKtuatorzugrif .aanforde- 

-nge tats.cMich bia zu ^a„ A.tuator 7 durchgalaaaan „ird 

bcute 9 - ]e nach Arbitrationsarf h k u- 
•>c4-v.^ .. . ^a^J-onsarz, d.h. hier "Druck" 

Strom" Oder "EIN/AUS"-Siqnal - dir^n- ^ ' 

xgnaa direkt oder nach Weiterver- 
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arbeitung in einem Druckregler 11 und/oder in einem Strom- 
regler 12 zu dem Aktuator 6 weitergeleitet . 9 

In dem hier beschriebenen Ausf Qhrungsbeispiel der Erfindung 
ist der Aktuator 7 eine Spule, z.B. die Ventilspule eines 
Bremsdrucksteuerventils. Ein Befehl oder Signal der Einheit 
Oder Dimension "EIN/AUS" fQhrt unmittelbar zur Reaktion des 
Ventils. Dem "EIN/AUS"-Signal wird daher im Sinne der hori- 
zontalen Arbitration die "hSchste" Prioritat eingerSumt. 
Ein Signal der Einheit oder Dimension "Strom" muss dagegen 
zunachst in einem Stromregler 12 (siehe Fig. 2) ausgewertet 
und in einen "EIN/AUS"-Bef ehl umgewandelt werden. Eine 
Druckanderungsanforderung, also ein Signal der Dimension 
"Druck", muss zunachst in einem Druckregler 11 in eine 
Stromanderungsanforderung und . danach mit Hilfe des Stromreg- 
lers 12 in ein Aktuatorbetatigungssignal bzw. in ein 
"EIN/AUS"-Signal gewandelt werden. Ein Signals der Dimension 
"Strom" genie/it daher im vorliegenden Ausfiihrungsbeispiel 
eine hohere Prioritat als ein Signal der Dimension "Druck". 
Bei konkurrierenden Signalen der Dimension "Druck", "Strom" 
und "EIN/AUS" gelangt das E/A-Signal zur Ausfiihrung; fehlt 
ein E/A-Signal, wird das Strom-Signal vorgezogen. 

Die Zugriffsverwaltung- 6 selektiert" die Aktuatorzugrif f san- 
forderungen nach vorgegebenen Regeln in AbhSngigkeit von der 
aktuellen Betriebsart. Beispielsweise sind in der Betriebs- 
art "Normal" nur Druck-Sollwertanforderungen "rechtmaftig" 
und werden ausgewertet; andere Anf orderungen werden von der 
Zugriffsverwaltung 6 zurQckgewiesen oder ignoriert. In der 
Betriebsart "Fremdsof tware" (CSW) sind nur Stellbefehle bzw. 
Aktuatorzugriffsanforderungen in Form von Drucksignalen er- 
laubt. In der Betriebsart "Diagnose" sind Stellbefehle in 
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Form von Stromsignalen Oder Ventil-Schaltbef ehlen, nicht je- 
doch von Drucksignalen zul^ssig. In der Betriebsart "Failsa- 
fe" sind nur Aktuatoranf orderungen, die von dem Kernsystem 
ausgehen, zu dem vor allem die sicherheitskritischen System- 
dienste gehoren, nicht jedoch Aktuatoranforderungen von Zu- 
behGrsystemen, Hilf ssystemen oder Fremdsystemen (CSW) 
"rechtmaiiig" . 

Dies sind nur relativ einfache Beispiele. Eine Vielzahl wei- 
terer Vorgaben lasst sich mit Hilfe der Zugrif f sverwaltung 6 
in Verbindung mit der Rechteverwaltung 2 (3) realisieren. 
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Patentanspriiche : 

1. Verfahren zum Vermeiden von fehlerhaften Aktuator- 
zugrif fen in einem multif unktionalen elektronischen Ge- 
samtregelungssystem, bei dem die Aktuatorzugrif f sanf or- 
derungen von verschiedenen oder verschiedenartigen Sys- 
temdiensten (1) ausgehen, dadurch gekennzeichnet, dass 
in das System eine Rechteverwaltung (2), die bei einer 
Aktuatorzugriffsanforderung die Berechtigung des Sys- 
temdienstes (1) zur Anderung der momentanen Betriebsart 
des Gesamtregelungssystems feststellt, eine Betriebsar- 
tensteuerung (4) und eine Zugrif fsverwaltung (6) einge- 
fiigt warden, dass die Rechteverwaltung (2) bei einer 
Zugrif f sanf orderung durch einen Systemdienst (1) unter 
Berucksichtigung der momentanen Gesamtbetriebsart des 
Gesamtregelungssystems eine Einstellung oder einen 
Wechsel der Betriebsart nach vorgegebenen Regeln her- 
beifuhrt und die aktuelle Betriebsart der Zugriffsver- 
waltung (6) meldet, und dass die Zugrif fsverwaltung (6) 
in Abhangigkeit von der gemeldeten Gesamtbetriebsart 
eine Aktuatorbetatigung nur durch den "berechtigten" 
Systemdienst (1) zulSsst und die Aktuatorzugrif f sanf or- 
derungen der Systemdienste (1) nach vorgegebenen Ar- 
bitrationsregeln verarbeitet. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass 
die Aktuatorzugrif fanforderungen der Systemdienste (1) 
in einem Speicher (5) erfasst und nach Arbitrationsar-- 
ten sortiert zur Zugrif fsverwaltung (6) weitergeleitet 
werdeji . 
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3. 



5. 



Verfahren nach Anspruch 1 oder 2, dadurch gekennzeich- 
net, dass die zu einem Aktuator (7) durchgelassene, von 
einem Systemdienst (1) ausgehende Aktuatorzugrif f san- 
forderung durch zweistufige Arbitration, nSmlich durch 
eine "vertikale" und eine "horizontale" Arbitration, 
bestimmt wird. 

Verfahren nach einem oder mehreren der Ansprviche 1 bis 
3 2, dadurch gekennzeichnet, dass in der Zugriffsver- 
waltung (6) in einem ersten Schritt die nicht berech- 
tigten Zugrif f sanforderungen in Abhangigkeit von der 
gemeldeten, aktuellen Gesamtbetriebsart ermittelt, eli- 
miniert oder zuruckgewiesen werden, dass in einem zwei- 
ten Schritt durch vertikale Arbitration eine Bewertung 
und Auswahl der berechtigten Zugrif f sanforderungen nach 
vorgegebener Rangfolge der Arbitrationsarten durchge- 
fiihrt wird, wobei einem "Stromsignal" hOhere Prioritat 
als einem "Drucksignal" und einem "EIN/AUS-Signal" h6- 
here Prioritat als einem "Stromsignal" zugemessen wird, 
und dass in einem dritten Schritt durch horizontale Ar- 
bitration eine Bewertung und Auswahl der in dem zweiten 
Schritt ermittelten Zugrif f sanforderungen nach Priori- 
tat des Signals fur die Ansteuerung des Aktuators (7)' 
erf olgt . 

Verfahren nach einem oder mehreren der Ansprtlche 1 bis 
4, dadurch gekennzeichnet, dass die Rechte der Be- 
triebsdienste (1) zur Anderung der Betriebsart in einem 
Festwertspeicher (3), auf den die Rechteverwaltung (2) 
Zugrif f hat, festgehalten werden. 
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6, Verfahren nach einem Oder mehreren der AnsprUche 1 bis 

5, dadurch gekennzelchnel:, dass bei einem Gesamtrege- 
lungssystem fiir Kraf tf ahrzeuge, das als Basissystem ei- 
ne Bremsanlage (EHB^EMB) enthalt, als Systemdienste (1) 
von denen die Aktuatorzugrif f sanf orderungen ausgehen, 
die Basisbremsf unktionen (BBF) , Radschlupf regelungs- 
funktionen (wie ABS, ASR (TCS) , ESP) , Diagnosef unktionen 
(Diag) , Motorpumpenregelungensysteme (MPA) und Schnitt- 
stellen (BUS) erfasst und durch die Rechteverwaltung (2 
in Verbindung mit der Zugrif f sverwaltung (5) kontrol- 
liert werden. 

7 , Verfahren nach einem oder mehreren der Ansprtiche 1 bis 

6, dadurch gekennzeichnet, dass weitere Systemdienste 
(1) , wie "Fremdsoftware" , (CWS) , "Lenkungsf unktionen" 
(Lenk) , etc. in das Gesamtsystem integriert werden. 

8 , Verfahren nach einem oder mehreren der AnsprUche 1 bis 
1 , dadurch gekennzeichnet^ dass bei einem Gesamt- 
regelungssystem far Kraf tf ahrzeuge in der Betriebar- 
tensteuerung (3) zumindest zwischen den Betriebsarten 
"Normalbetrieb", der sich nach Beendigung der Startpha- 
se beim Ausbleiben einer Fehlermeldung einstellt, der 
Betriebsart "Startphase" , die z.B. bis zum Ablauf einer 
vorgegebenen Zeitspanne, bis zum erstmaligem Erreichen 
einer Mindestgeschwindigkeit und/oder bis zum Abschluss 
von anfanglichen Prufroutinen gilt, der Betriebsart 
"Diagnose", der Betriebsart "Fremdsoftware", die bei 
einer Aktuatorzugrif f sanf orderung durch ein Fremd- oder 
Hilfssystem ausgeldst wird, und der Betriebsart "Fail- 
safe", die auf das Vorliegen einer Fehlermeldung hin- 
weist, unterschieden wird. 
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Verfahren zum Vermeiden von fehlerhaften Aktuatorzugriff en 
in einem multifunktionalen elektronischen Gesamtregelungs- 
system 



Zusanmenfassung 

Bei einem Verfahren zum Vermeiden von fehlerhaften Aktuator 
zugriffen in einem mul'tif unktionalen elektronischen Gesamt- 
regelungssystem, bei dem die Aktuatorzugrif f sanf orderungen 
von verschiedenartigen Systemdiensten (1) ausgehen, wird in 
das Gesamtregelungssystem eine Rechteverwaltung (2), die di 
Berechtigung von Aktuatorzugrif f sanf orderungen feststellt, 
eine Betriebsartensteuerung (4) und eine Zugrif f sverwaltung 
(6) integriert. Die Rechteverwaltung (2) fuhrt bei einer 
Zugr iff sanf orderung durch einen Systemdienst (1) unter Be- 
rOcksichtigung der momentanen Betriebsart des Gesamtsystems 
eine Einstellung oder einen Wechsel der Betriebsart nach 
vorgegebenen Regeln herbei und meldet die aktuelle Betriebs- 
art der Zugriffsverwaltung (6). Von der Zugrif f sverwaltung 
(5) warden in Abhangigkeit von der gemeldeten Gesa-mtbe- 
triebsart eine Aktuatorbetatigung durch den "berechtigten" 
Systemdienst (1) zugelassen und die Aktuatorzugrif f sanf orde- 
rungen der Systemdienste (1) nach vorgegebenen Arbitrations- 
regeln verarbeitet. 



(Fig. 1) 



